Twitter ha condiviso un post nel proprio blog sulla sicurezza per informare i propri utenti di una vulnerabilità riscontrata sulla piattaforma che consentiva a qualcuno di inserire un numero di telefono o un indirizzo e-mail nel form di login per l’accesso alla social network nel tentativo di scoprire se tali informazioni erano legate ad un account Twitter esistente e, in caso affermativo, quale account specifico. Twitter ha fatto sapere che non ci siano azioni specifiche che gli utenti devono intraprendere per questo problema. Ciò nonostante, l’azienda ha condiviso maggiori informazioni su quanto accaduto, le misure che ha adottato e condiviso alcune best practice che gli utenti possono adottare per meglio proteggere il proprio account Twitter.
"Prendiamo molto seriamente la nostra responsabilità di proteggere la tua privacy ed è un peccato che ciò sia accaduto" ha spiegato Twitter.
Cosa è successo – Nel gennaio 2022, Twitter ha ricevuto tramite il suo programma che ricompensa coloro che segnalano dei bug di vulnerabilità nei sistemi della piattaforma una segnalazione riguardante una vulnerabilità per mezzo della quale se qualcuno inseriva un indirizzo e-mail o un numero di telefono in un form di sistema su Twitter, questo restituiva informazioni circa l’account associato a quello specifico indirizzo e-mail o numero di telefono, se presente. Twitter ha comunicato che questo bug è il risultato di un aggiornamento del codice della piattaforma che risale nel mese di Giugno 2021. Dopo aver appreso di questa vulnerabilità, l’azienda si è subito attivata per esaminare il caso e risolvere il problema. A quel tempo, Twitter non aveva prove che suggerissero che qualcuno avesse approfittato della vulnerabilità. Nel luglio 2022, Twitter ha appreso attraverso un rapporto di stampa che qualcuno aveva potenzialmente sfruttato questa vulnerabilità e si stava offrendo di vendere le informazioni raccolte. Dopo aver esaminato un campione di questi dati disponibili per la vendita, Twitter ha confermato che un malintenzionato aveva approfittato del problema prima che fosse risolto.
Cosa farà Twitter adesso – Twitter ha comunicato il 5 agosto 2022 che informerà direttamente i proprietari degli account che può confermare che sono stati interessati da questo problema. Tuttavia, l’azienda ha detto di non essere in grado di confermare tutti gli account potenzialmente interessati, in particolare account pseudonimi.
Cosa possono fare gli utenti di Twitter ora – Per mantenere la propria identità il più al sicuro possibile su Twitter, l’azienda consiglia di non aggiungere un numero di telefono o un indirizzo e-mail pubblicamente noto al proprio account Twitter. Inoltre, pur ritenendo che nessuna password sembra sia stata esposta, Twitter incoraggia tutti coloro che utilizzano Twitter ad abilitare l’autenticazione a 2 fattori utilizzando app di autenticazione o chiavi di sicurezza hardware per proteggere il proprio account da accessi non autorizzati.
Gli utenti di Twitter che sono preoccupati per la sicurezza del proprio account o che hanno domande su come l’azienda protegge le informazioni personali dei propri utenti, possono contattare l’ufficio di Twitter per la protezione dei dati tramite il modulo accessibile all’indirizzo web twitter.ethicspointvp.com/custom/twitter/forms/data/form_data.asp mentre per ulteriori informazioni sulla segnalazione di una vulnerabilità di sicurezza sulla piattaforma è possibile visitare il Centro assistenza di Twitter all’indirizzo help.twitter.com/it/rules-and-policies/reporting-security-vulnerabilities
